Seit Herbst 2022 haben viele Unternehmen Abmahnungen wegen angeblicher Verstöße gegen die DSGVO bzw. die Nutzung von Google-Fonts auf der Unternehmenswebsite erhalten. Hintergrund ist ein aktuelles Urteil des LG München.
In vielen Fällen kommen die Abmahnungen von Rechtsanwaltskanzleien. Meist ist es den Firmen gar nicht bewusst, möglicherweise einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) aufgrund der datenschutzwidrigen Einbindung von Google-Fonts zu begehen. Als Grund für die Abmahnungen wird auf eine Entscheidung des Landgerichts München verwiesen. Das LG München hatte in dieser Entscheidung ein Unternehmen wegen der datenschutzwidrigen Einbindung von Google-Fonts dazu verurteilt, dem Kläger 100 Euro als immateriellen Schadenersatz zu zahlen. Bei wiederholtem Verstoß wurde ein Ordnungsgeld von bis zu 250.000 Euro angedroht. Der Kläger hatte mehrfach die Website des beklagten Unternehmens besucht und seine IP-Adresse war nachweislich wiederholt an Google weitergeleitet worden, ohne dass er damit einverstanden war.
Mittlerweile hat sich jedoch der Verdacht bestätigt, dass es sich bei den meisten Abmahnungen um einen Betrugsversuch handeln dürfte. Wenn Ihr Unternehmen eine „Abmahnung” wegen Google-Fonts erhält, empfiehlt es sich, die eigene Website zu überprüfen, ob ein datenschutzrechtlicher Verstoß gegeben sein kann. Sollte eine nicht konforme Einbindung von Web-Fonts vorliegen, sollte diese korrigiert werden (siehe unten). Zudem sollte die Zahlungsaufforderung höflich und sachlich bestimmt abgelehnt und eine rechtsanwaltliche Vollmacht im Original angefordert werden.
Ob Sie mit Ihrem Internetauftritt betroffen sind, hängt davon ab, ob und wie Sie Google-Fonts verwenden. Nicht problematisch ist die Verwendung, wenn die Schriftarten heruntergeladen und von Ihrem eigenen Server auf die Website eigebunden werden. Problematisch ist die dynamische Einbindung der Google-Fonts, denn dann werden die Schriftarten direkt von den Google-Servern in den USA geladen. Dies hat wiederum zur Folge, dass bei jedem Besuch der Website, die IP-Adresse des Besuchers an Google übermittelt wird. Erfolgt dies ohne Zustimmung des Besuchers, liegt ein Datenschutzverstoß vor, da es sich bei IP-Adressen um personenbezogene Daten handelt.
Generell sollten Unternehmen prüfen, ob auf ihrer Website Web-Fonts verwendet werden, die automatisch IP-Adresse oder sonstige Daten weiterleiten. Das kann i.d.R. über den Quellcode der Website ersehen werden. Im Zweifel sollten sich Unternehmen an den Ersteller der Website oder an einen Datenschutzbeauftragten wenden. Auch gibt es verschiedene, auch kostenlose Möglichkeiten, die eigene Website auf Datenschutzmängel zu prüfen. Sollte sich bei der Prüfung herausstellen, dass Google-Fonts nicht datenschutzkonform eingebunden sind, sollten Sie sich unverzüglich mit Ihrem IT-Administrator in Verbindung setzten, der für Sie die Einbindung bzw. die Nutzung von Google-Fonts ändern kann. Ansonsten riskieren Sie eine Abmahnung. Denn unabhängig davon, ob die Abmahnungen wegen Rechtsmissbrauch rechtswidrig sind oder überhaupt ein Schadenersatzanspruch besteht, liegt im Fall der dynamischen Einbindung von Google-Fonts und der automatischen Weiterleitung der fremden IP-Adresse ohne Zustimmung des Besuchers ein Datenschutzverstoß vor.
(Quelle: LG München I, Endurteil v. 20.01.2022 – 3 O 17493/20;
www.gesetze-bayern.de/Content/Document/Y-300-Z-BECKRS-B-2022-N-612; www.berlin.de/generalstaatsanwaltschaft/presse/pressemitteilungen/2022/pressemitteilung.1277538.php)